첨부파일 여는 순간 악성코드 감염… 예금 계좌에서 30만원 빠져나가6개월간 3400만원 빼돌린 2명 구속
김모 씨(32)는 발신자가 서울 서대문경찰서로 되어 있는 출석요구서를 e메일로 받았다. 혐의 내용은 인터넷에서 불법파일을 내려받았다는 것이다. 김 씨의 인터넷주소(IP주소)와 경찰서 전화번호, 소환 근거 등에 대한 상세한 내용이 적혀 있었고, ‘첨부된 아동음란물 단속 관련 해설 자료는 사전 고지하여 주시길 바랍니다’는 안내가 있었다.
김 씨는 불안한 심정으로 e메일의 첨부파일을 열었다. 김 씨는 며칠 뒤 자신의 농협 계좌에서 30만 원이 빠져나간 사실을 발견했다. 첨부파일을 연 순간 PC가 악성코드에 감염돼 그 후 금융기관 사이트에 접속할 때마다 가짜 인터넷뱅킹 홈페이지로 우회 접속하도록 유도해 정보를 빼가는 ‘파밍’ 수법에 당한 것이다. 진짜 경찰 출석요구서는 e메일이 아닌 우편으로 배달되고 문서 하단에 고유 바코드가 있지만 그 같은 사실을 몰랐던 김 씨로서는 첨부파일을 열어보지 않을 수 없었던 것이다.
이처럼 ‘파밍’뿐 아니라 전화로 개인정보를 빼내는 ‘보이스 피싱’과 문자메시지를 통해 소액결제를 유도하는 ‘스미싱’ 등 사기 수법이 매일같이 새로 생겨나 이용자들의 불안이 가중되고 있다. 동아일보 취재팀은 경찰, 이동통신사, 보안업체의 전문가들에게 자문해 전화 및 문자 사기 피해 예방법을 정리했다.
①링크 누르면 위험=올해 1∼8월 경찰에 피해 사례가 2433건 접수됐고 하루 평균 피해액이 1825만 원일 정도로 기승을 부리고 있는 스미싱 수법 가운데 하나. 지인 명의로 온 ‘돌잔치 초대장’ 등의 링크를 누르면 악성코드가 심어진 애플리케이션(앱·응용프로그램)이 스마트폰에 설치돼 해커가 소액결제 인증번호를 중간에서 가로채는 방식이다. 최근에는 이용자의 주소록 정보를 탈취해 지인에게 스팸 문자를 보내도록 하는 악성코드까지 개발됐다. 지인이 보낸 문자여도 링크를 함부로 누르면 안 된다는 뜻이다.
‘도로교통법 위반으로 적발됐으니 기소 내용을 확인하라’는 문자메시지 등 공공기관을 사칭한 거짓 문자의 링크도 눌러서는 안 된다. 경찰이 출석요구서를 우편으로 보낸 뒤 문자메시지로 이를 알려주기도 하지만 그 어떤 경우에도 링크가 첨부되지는 않는다. ‘레스토랑 쿠폰’ ‘카카오톡 업그레이드’ 등도 피해가 끊이지 않는 거짓 문자다.
매일 새로운 변종 악성코드가 등장하기 때문에 백신 앱만으로는 완벽하게 막을 수 없다. 스미싱을 예방하려면 낯선 링크를 누르지 말아야 한다.
③ 떠도는 피해 사례 중엔 과장된 내용도 많아=‘독도 관련 설문을 가장한 전화에 번호를 눌렀더니 25만 원이 결제됐다’는 글이 광복절 이후 급속히 확산됐지만 피해 사례가 한 건도 접수되지 않았다. 이처럼 설문조사를 빙자해 소액결제 방식으로 돈을 빼내 가는 건 시스템상 불가능하다.
또한 공공기관 등을 사칭해 전화를 걸어 중요한 안내를 해주는 척하다가 전화가 끊어지게 만들어 수신인으로 하여금 자동응답시스템(ARS) 유료전화에 전화를 걸도록 유인하는 속임수 전화도 있다. 하지만 이런 속임수에 빠져 ARS 유료전화에 전화를 걸었더라도 즉각 끊으면 정보이용료가 빠져나가지 않는다.
“‘차 빼라’라는 문자메시지를 받고 전화했더니 25만 원이 순식간에 소액결제됐다”는 글이 인터넷에 올라오기도 하지만 이 역시 근거 없는 루머다. 단돈 100원을 휴대전화 소액결제 서비스로 결제하려 해도 문자메시지로 본인 인증 절차를 밟아야 하기 때문에 전화를 걸거나 받는 것만으로는 돈이 빠져나가지 않는다. ‘4040으로 끝나는 번호로 걸려 온 전화는 받기만 해도 돈이 나간다’ 등의 글 역시 경찰에 접수된 관련 피해 신고가 전혀 없는 루머로 밝혀졌다.
조건희·백연상·조동주 기자 becom@donga.com